Au début En mars, Google a publié une mise à jour pour ses smartphones Pixel phares afin de corriger une vulnérabilité dans l’outil de retouche photo par défaut des appareils, Markup. Depuis son introduction en 2018 dans Android 9, l’outil de recadrage de photos de Markup laissait tranquillement des données dans un fichier d’image recadrée qui pouvait être utilisé pour reconstruire tout ou partie de l’image originale au-delà des limites du recadrage. Bien que maintenant corrigée, la vulnérabilité est importante car les utilisateurs de Pixel créent depuis des années, et dans de nombreux cas partagent vraisemblablement, des images recadrées qui peuvent encore contenir les données privées ou sensibles que l’utilisateur tentait d’éliminer. Mais ça empire.
Le bogue, surnommé “aCropalypse”, a été découvert et initialement soumis à Google par le chercheur en sécurité et étudiant Simon Aarons, qui a collaboré au travail avec son collègue rétro-ingénieur David Buchanan. La paire a été stupéfaite de découvrir cette semaine qu’une version très similaire de la vulnérabilité est également présente dans d’autres utilitaires de recadrage de photos à partir d’une base de code totalement distincte mais tout aussi omniprésente : Windows. L’outil Windows 11 Snipping Tool et l’outil Windows 10 Snip & Sketch sont vulnérables dans les cas où un utilisateur prend une capture d’écran, l’enregistre, recadre la capture d’écran, puis enregistre à nouveau le fichier. Les photos recadrées avec Markup, quant à elles, conservaient trop de données même lorsque l’utilisateur appliquait le recadrage avant d’enregistrer la photo pour la première fois.
Microsoft a déclaré mercredi à WIRED qu’il était “au courant de ces rapports” et qu’il “enquêtait”, ajoutant que “nous prendrons les mesures nécessaires”.
“C’était vraiment époustouflant, c’était comme si la foudre venait de frapper deux fois”, dit Buchanan. « La vulnérabilité Android d’origine était déjà suffisamment surprenante pour ne pas avoir été découverte. C’était assez surréaliste.
Maintenant que les vulnérabilités sont au grand jour, les chercheurs ont commencé à découvrir d’anciennes discussions sur les forums de programmation où les développeurs ont remarqué le comportement étrange des outils de recadrage. Mais Aarons semble avoir été le premier à reconnaître les implications potentielles en matière de sécurité et de confidentialité, ou du moins le premier à apporter les résultats à Google et Microsoft.
“En fait, je l’ai remarqué vers 4 heures du matin par accident total lorsque j’ai remarqué qu’une petite capture d’écran que j’avais envoyée de texte blanc sur fond noir était un fichier de 5 Mo, et cela ne me semblait pas correct”, déclare Aarons.
Les images impactées par aCropalypse ne peuvent souvent pas être complètement récupérées, mais elles peuvent être considérablement reconstruites. Aarons a fourni des exemples, dont un dans lequel il a pu récupérer son numéro de carte de crédit après avoir tenté de le recadrer sur une photo. En bref, il existe une population de photos qui contiennent plus d’informations qu’elles ne le devraient, en particulier des informations que quelqu’un a intentionnellement tenté de supprimer.
Microsoft n’a pas encore publié de correctifs, mais même ceux publiés par Google n’atténuent pas la situation des fichiers image existants recadrés dans les années où l’outil était encore vulnérable. Google souligne cependant que les fichiers d’images partagés sur certains médias sociaux et services de communication peuvent supprimer automatiquement les données erronées.